Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Website LeakedSource die gekraakte wachtwoorddatabases aanbood is offline

Door , 29 reacties, submitter: Neat

LeakedSource, een controversiële site die gegevens uit uitgelekte databases te koop aanbiedt, is momenteel offline. In een forumpost zegt een gebruiker dat dit het gevolg is van een politieactie en dat de site niet meer terug zal komen.

In het bericht, dat ook via Pastebin te lezen is, zegt een gebruiker met de naam 'LTD' dat er een inval bij LeakedSource heeft plaatsgevonden waarbij alle ssd's in beslag zijn genomen. De eigenaar zou niet zijn opgepakt en alle servers zouden onderzocht worden. Ars Technica heeft een poging ondernomen om contact met de personen achter te site op te nemen, zonder succes. Volgens de site was LeakedSource ongeveer vijftien maanden online. De identiteit van de forumposter is onbekend.

Via de website LeakedSource, die toegang verschafte tot meer dan drie miljard wachtwoorden, konden gebruikers gratis opzoeken of hun gegevens voorkwamen in een uitgelekte database. Tegen betaling was het mogelijk alle databases te doorzoeken, die volgens Ars Technica ook door LeakedSource zelf werden gekraakt. Hierdoor was het mogelijk om bijvoorbeeld bestaande accounts binnen te dringen, als deze met hetzelfde wachtwoord beveiligd waren dat in een gekraakte database voorkwam.

Beveiligingsonderzoeker Troy Hunt biedt een soortgelijke dienst aan onder de naam 'HaveIbeenpwned'. Het verschil met LeakedSource is dat hij personen alleen laat controleren of hun gegevens in een uitgelekte database voorkomen. Hij biedt geen toegang tot de gegevens zelf. Via zijn website is bijvoorbeeld te controleren of een gebruikersnaam of e-mailadres voorkomt in een gehackte database, zoals die van Adobe, MySpace, LinkedIn en Dropbox.

Hunt reageert in een eigen blogpost op het nieuws en schrijft dat er bij hem 'nooit twijfel heeft bestaan dat de site voor destructieve doeleinden werd gebruikt'. Hij hoopt dat degene achter de site 'er opnieuw over nadenkt hoe er op ethische wijze met persoonlijke gegevens om kan worden gegaan'.

Het is niet bekend wie er achter LeakedSource zitten. Wired schreef in december een achtergrondartikel over de dienst, daarin staat dat sommige personen achter de website nog op school zitten.

Sander van Voorst

Nieuwsredacteur

27 januari 2017 14:06

29 reacties

Submitter: Neat

Linkedin Google+

Reacties (29)

Wijzig sortering
Oei. Ik ben heel erg benieuwd wat er met de gegevens gaat gebeuren die op de servers staan/stonden. Want als jouw gegevens er nog gewoon op staan, dan zou ik me niet zo veilig voelen. Maar hopen dat alles verwijderd word qua gegevens. Toch niet zo betrouwbaar als het lijkt dus, want ze kochten dus gewoon gehackte databases op, om hun eigen database te vullen. Zelfs het Twitter account is verwijdert: https://twitter.com/search?q=%23leakedsource

Omdat dit (LeakedSource) tóch niet zo'n betrouwbare site leek, hier wat info over https://haveibeenpwned.com/ die naar alle waarschijnlijkheid wél betrouwbaar(der) is:

Via de volgende link kun je je username of e-mail adres invoeren en zien of je voorkomt in de/een datalek:

https://haveibeenpwned.com/

Via deze link kan je jezelf laten notificeren als jouw gegevens ineens wel voorkomen in een databreach: https://haveibeenpwned.com/NotifyMe

En ook via deze website, kan je jezelf uitschrijven (opt-out) voor de database van haveibeenpwned.com. Dat kan hier: https://haveibeenpwned.com/OptOut

Zie de FAQ voor info over hoe de website met jouw gegevens omgaat: https://haveibeenpwned.com/FAQs

Voor de beheerders is er een Domain Search optie. Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf. Dat kan via de volgende link: https://haveibeenpwned.com/DomainSearch

Troy Hunt is één van de bekendste beveiligingsonderzoekers. Hij houdt een database bij wat draait op Microsoft Azure. Tevens is hij beveiligingsonderzoeker bij Microsoft. Ik zeg niet dat ik hem 100% vertrouw, maar dit geeft meer vertrouwen dan een website als LeakedSource, waarbij de eigenaar zichzelf niet kan identificeren.

[Reactie gewijzigd door AnonymousWP op 27 januari 2017 15:07]

Tevens is hij beveiligingsonderzoeker bij Microsoft.
Stop even met het verkondigden van het feit dat Troy Hunt beveiligingsonderzoeker bij Microsoft zou zijn. Dit is al vaker genoemd op tweakers, maar hij is een Regional Director en dus niet in dienst van Microsoft.
Wat maakt 'Haveibeenpwned.com' nou anders dan LeakedSourced dan alleen meer uitleg en functionaliteiten om zichzelf betrouwbaar over te laten komen? Maar wie is de eigenaar? Ken ik die? Misschien verzamelt hij stiekem emailadressen en verkoopt hij die door? Ik weet het niet.

Nee. Ik vertrouw wat dat betreft geen enkele site op dit vlak. Gewoon je boerenverstand gebruiken en per site een ander wachtwoord gebruiken. En ligt mijn email dan op straat, dan is dat zo. Maar ik hoef dan geen gebruik te maken van zulke sites.
Bij HaveIBeenPwned krijg je alleen te zien dát je wachtwoord 'compromised' is door een bekend geworden (database-)lek, en dus je wachtwoord moet veranderen.
Bij LeakedSource gingen ze een stap verder door de aangeboden databases op te kopen (daarmee criminelen te betalen!) en deze te kraken zodat de daadwerkelijke wachtwoorden ook bekend zijn. Deze zijn vervolgens door een betaald account bij LeakedSource te hebben ook inzichtelijk voor dezen en genen, dus ook de info van andere accounts.
Een wezenlijk verschil met HaveIBeenPwned, dat vooral informatief en beschermend is ten aanzien van je eigen accounts.
LeakedSource verleent een hulpmiddel aan misbruik met een eigen financieel belang.
Troy Hunt is één van de bekendste beveiligingsonderzoekers. Hij houdt een database bij wat draait op Microsoft Azure. Tevens is hij beveiligingsonderzoeker bij Microsoft. Ik zeg niet dat ik hem 100% vertrouw, maar dit geeft meer vertrouwen dan een website als LeakedSource, waarbij de eigenaar zichzelf niet kan identificeren.
Troy Hunt werkt niet bij Microsoft maar is een onafhankelijk onderzoeker en security evangelist, met een focus op Microsoft. Hij heeft een goed imago in het ethisch omgaan met lekken en privégegevens.
Dat is een heel verstandige instelling. Ook ik gebruik voor elke site een ander sterk wachtwoord.

Bedenk wel dat de data die haveibeenpwned.com indexeert al uitgelekt is en dat kwaadwillenden deze vaak al uitwisselen via ondergrondse websites. Het is vaak niet alleen je e-mailadres en wachtwoord dat op straat ligt maar ook andere gegevens.

Het zijn juist de 'eigenaars' van een account die niet weten dat deze uitgelekt is en het is goed dat een site hen hiervan op de hoogte stelt, zolang dit op ethische wijze gebeurt. Van de uitgelekte gegevens is een e-mailadres vaak het minst waardevolle. Hunt heeft over de jaren bewezen dit netjes te doen. Hoeveel waarde je aan zijn imago hecht moet je zelf bepalen maar ik vind dat hij de balans goed weet in te schatten.
Leakedsource was inderdaad erg onbetrouwbaar. Persoonlijk voel ik me veiliger nu die gegevens in de hand van de autoriteiten zijn.

HaveIBeenPwned is voor mij een veiliger ogend alternatief. De beheerder is een bekende Microsoft partner die zich specialiseert in beveiliging. Daarnaast slaat hij *geen* wachtwoorden op, in tegenstelling tot LeakedSource geloof ik.

Tenslotte ook fijn in HaveIBeenPwned: 'Gevoelige' leaks, zoals Ashley Madison, moet je eerst je mailadres voor verifiëren om te kunnen zien of je erin staat.
Het lijkt me stug dat hij geen wachtwoorden opslaat, want daar is de site immers voor bedoelt :p. Ik denk dat het eerder is: hij heeft geen inzage in de wachtwoorden als plain-text, en ik denk ook dat ze versleuteld zullen zijn. Want zelf zal hij dan ook de privacy schenden van gebruikers.
De website is er juist niet voor bedoelt. Hij slaat enkel de email addressen op en de breaches waarin ze voorkomen. Als je je mailadres op zoekt, krijg je een lijstje met de breaches waar jouw mailadres in is gevonden, en wat voor gegevens de breach bevatte.
Nee, je kunt namelijk ook pastes bekijken. Die zijn hier te vinden: https://haveibeenpwned.com/Pastes

Zoals ik dus al vermoedde, worden de wachtwoorden inderdaad gehasht opgeslagen.
One of the attractions of paste services is that there are no constraints on the structure of the content that can be published there. Consequently, pastes containing email addresses may be very self-explanatory or appear completely obscure. However, there are some common patterns which appear.

Database dumps: These will often take the form of scripts that can be run to recreate the database structure. They typically contain comma-delimited fields representing different columns in the database, often with passwords which may be secured with a cryptographic hash.
Oh ja, de pastes zijn inderdaad wel volledig. Dat is inderdaad zo, de pastes zijn eigenlijk de 'raw data' die wordt ingeladen voordat de breaches goed geverifieerd kunnen zijn, zodat je snel kan zien of je ergens in zit.

De database van breaches die Troy zelf bijhoud is (voor zover ons wordt verteld) password-vrij.
Leakedsourced vroeg ook geld als je meer gegevens wou zien dat liep op tot 300 euro per jaar
Weet ik, dat klopt, want dat staat ook in de tekst:
Tegen betaling was het mogelijk alle databases te doorzoeken, die volgens Ars Technica ook door LeakedSource zelf werden gekraakt. Hierdoor was het mogelijk om bijvoorbeeld bestaande accounts binnen te dringen, als deze met hetzelfde wachtwoord beveiligd waren dat in een gekraakte database voorkomt.
Voor de beheerders is er een Domain Search optie. Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf. Dat kan via de volgende link: https://haveibeenpwned.com/DomainSearch
In verband met een project rondom bewustwording van informatie veiligheid vind ik dit heel interessant. Dank. Was wel makkelijker geweest als ik de dump gewoon kon downloaden en er in kon zoeken / filteren op domeinnaam.
Ja, dat zouden wel meer mensen makkelijk vinden :P Daarom laat hij het ook niet toe.
Inmiddels gelukt via de webmaster, over de 1.000 hits :9
Oei... You may or may not have been pwned :9
Dus je voelde je wel veilig toen die gegevens nog gewoon verkocht konden worden?
Nee, maar dat zeg ik toch ook niet?
Data is al jaren goud waard, en nu heeft de overheid deze data, en snapt ook beter hoe eraan gekomen wordt, en dus hoe ze het zelf kunnen doen.

Dat men er misbruik van maakt, natuurlijk. Maar ik vond het wel erg handig op LS te zien welke data van mij er was, of die data klopt, en hoe echt oud deze data is. Alle tijdelijke weggooi accountjes met makkelijke wachtwoorden waren bijvoorbeeld beschikbaar, maar alles wat ik serieus gebruik en ondertussen al unieke, sterke, en lange wachtwoorden gebruikt, stond er niet tussen.

Verder, om misbruik te voorkomen heb ik profiel van familie en vrienden gemaakt en hun hiervan een berichtje gegeven, en nu nemen ze hun logins ook serieuzer. Toen ik ze haveibeenpwned liet zien, was het schouders omhoog en 'het zal wel', maar als ze hun wachtwoord 'konijntje666' van LS zien, dan schrikken ze zich toch wel even rot. En met de opmerking 'wie weet hoe lang er al mensen je berichten lezen zonder dat jij het weet', en opeens ondernemen ze actie.

Maar ja, zo een site offline halen, de overheid moest eens weten hoeveel sites er zijn die niet publiek zijn en ze niet eens vanaf weten - waar ze 'echt' met het doel misbruik hebben. Deze offline halen zorgt er alleen maar voor dat nieuwsgierige niet meer kunnen snuffelen.

Maar ik snap het wel, ik vind het jammer dat LS het doet om geld mee te verdienen. Via ads vind ik prima, maar criminelen betalen en toegang verkopen is niet netjes.

[Reactie gewijzigd door xiphoid op 27 januari 2017 16:30]

Ik werk niet voor Microsoft noch voor haveibeenpwned. Het doel van mijn post was om mensen te informeren en ze wat meer info te geven (onder andere hoe havibeenpwned met je gegevens omgaat). Hoe zou het dan een reclamepost kunnen zijn? :?
Vind het best wel jammer dat het weg is. Ik gebruikte leakedsourced. vooral om te kijken welke wachtwoorden van mij achterhaalt waren zodat ik die niet meer kon gebruiken.

haveibeenpwned laat alleen zien dat er iets was geleaked alleen niet zo specifiek op wat percies zoals op leakedsourced het deed.
haveibeenpwned laat alleen zien dat er iets was geleaked alleen niet zo specifiek op wat percies zoals op leakedsourced het deed.
Wat bedoel je precies? In de beschrijvingen van leaks staat precies wat er is buitgemaakt bij de hack, en of het een sensitive en/of unverified breach is of niet. Kijk hier maar eens als voorbeeld: https://haveibeenpwned.com/PwnedWebsites#MySpace
In approximately 2008, MySpace suffered a data breach that exposed almost 360 million accounts. In May 2016 the data was offered up for sale on the "Real Deal" dark market website and included email addresses, usernames and SHA1 hashes of the first 10 characters of the password converted to lowercase and stored without a salt. The exact breach date is unknown, but analysis of the data suggests it was 8 years before being made public.

Compromised data: Email addresses, Passwords, Usernames
Dat je niet ziet welk wachtwoord het is geweest. er staat alleen bij dat je password is geleaked
Ja, omdat dat volkomen onveilig is. Dat zou namelijk beteken dat je gewoon andermans e-mailadres kan invoeren, en dan zo het wachtwoord/de wachtwoorden te zien krijgt. Dat lijkt me niet helemaal de bedoeling. Bovendien is dat niet nodig, want je kan bij die dienst nog gewoon op "wachtwoord vergeten" klikken, mocht je je wachtwoord vergeten zijn.
Het zal wel aan mij liggen maar ik vond het best veilig voor mezelf. Ik controleerde het dus regelmatig zo wist ik dus ook welke wachtwoorden ik gewoon niet meer moest gaan gebruiken.
Dat klopt, en dat is ook zo hoor. Daar geef ik je helemaal gelijk in. Daarom is het ook zo belangrijk om je wachtwoorden op te slaan in bijvoorbeeld KeePass.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*